Archive for the ‘Riesgos y Tecnología’ Category

28
Feb

Mails visibles

Written on February 28, 2007 by faparicio in Riesgos y Tecnología

Pues al hilo de la consideración del email como dato personal, una reciente sanción de la Agencia Española de Protección de Datos apostilla la no consideración de Internet como “medio de comunicación” y, por tanto, niega su carácter de fuente accesible al público a cualquier dato personal (por ejemplo, el email) recogido en, pongamos, una página web.
La sanción castiga el envío de 42 direcciones de email en una campaña promocional de telefonía móvil, en el que se copiaba en CC a toda la lista de correos. El simple despiste de no incluir la lista en copia oculta (CCO) puede ocasionar que alguno de los receptores sienta violada su intimidad y denuncie esta infracción ante la Agencia Española de Protección de Datos, que, en este caso, sancionó a la persona encargada del envío.
Lo curioso es que en su defensa la denunciada alegó que “en Internet se pueden encontrar dichas direcciones de correo en diferentes páginas web”. La sanción despeja cualquier duda sobre el uso que podemos hacer de los mails recogidos en Internet: ninguno, salvo que dispongamos del consentimiento del interesado.
En este caso, la sanción se fundamentó como infracción del deber de secreto profesional, su grado leve (600 euros). Sin embargo, una interpretación más severa podía haber catalogado el envío como cesión de datos sin consentimiento, con lo que la broma ascendería a 300.000 euros como mínimo.
Lo más divertido del artículo es la conclusión del articulista que detalla la noticia, y cito textualmente “En cualquier caso, la lección que se saca de esta multa es que en ningún momento se debe de copiar en el apartado CC (Copia Carbón) las direcciones de nuestros destinatarios si estamos realizando cualquier tipo de comunicación, que se salga del ámbito doméstico o personal”.
Es decir, realicen Vds. spam a mansalva con tal de que los receptores no sepan qué otros incautos padecen sus comunicaciones no solicitadas…..Una cosa es el mantenimiento de la privacidad y otra muy distinta es enviar comunicaciones publicitarias sin consentimiento, actividad perseguida por la LSSI, aunque sancionada dentro del ámbito competencial de la Agencia Española de Protección de Datos.
Conclusión: por mucho que la recomendación de usar el CCO en listado de correos sea una buena práctica para el mantenimiento de la privacidad (y adicionalmente por profilaxis anti-spam, es decir, poner las cosas un poquito más difíciles a los caza-emails), lo importante es asegurar que aquellos a quienes les envío los emails lo han consentido previamente.
Este caso me recuerda mucho a otro más longevo (nada menos que del prehistórico 2001) en el que la compañía farmacéutica Eli Lilly and Co, debido a un error informático, se difundieron los emails de 600 pacientes 600 que se habían registrado para que les recordaran periódicamente la toma de Prozac y diversas prescripciones médicas….Ufff, pues menos mal que les sucedió en EE.UU….
Más información sobre estos dos incidentes que ilustran el coste de los errores de seguridad producidos por el usuario final:
http://www.elpais.com/articulo/inter…lpepunet_3/Tes
http://www.computerworld.com/securit…,61934,00.html

13
Feb

ISP’s-like responsability

Written on February 13, 2007 by faparicio in Riesgos y Tecnología

An interesting decision of a Californian Court has extended a legal protection designed for ISPs to employers whose workers commit offences using work e-mail and Internet access.
The decision relieves Hewlett-Packard spin-off Agilent of any responsibility for actions carried out by its employees, which, though not carried out on behalf of the company, used the company’s infrastructure. An Agilent employee sent and posted threatening messages directed against employees of another company, Varian, using work-provided e-mail and Internet access.
It seems different legislations are following the responsability exemption path established for ISP’s.
Full report available in http://www.out-law.com/page-7728

28
Jan

No limits whatsoever

Written on January 28, 2007 by faparicio in Riesgos y Tecnología

The news about detectives hacking into computers in British Prime Minister Tony Blair’s offices, as they searched for evidence in the probe into alleged party political corruption, has set off all the alarms on the official authorities Internet abuse to breach any privacy, including Prime Minister’s.
According to some British media, there are strong suspicions that Metropolitan Police gave permission to detectives to use all legal means to find out whether anything was being withheld, given the “very slim” pile of documents they received from the political parties.
Obviosly, no court had authorized the hacking or being informed about this illegal activity. Is this British present and our impending future? We’d better be scared….

14
Jan

Data classification blues

Written on January 14, 2007 by faparicio in Riesgos y Tecnología

Although it is one of the pillars of any information security program, most organizations lack the existence of a data classification scheme. This consists in assigning both a level of sensivity and an owner to each document, memo, report, letter, etc of the organization. The main advantage is not only to provide the most critical information of the company with the strongest controls (another practical application of risk analysis) but also defining the security clearance of individual or groups authorized to access the classified information.
Once again, this definition implies management involvement and leadership (so that the CISO efforts don’t go wasted) not to treat all information just the same. We cannot apply the same security measures to every piece of information, which would lead to innecessary restrictions and loss of information security personnel efficiency.
Several methodologies provide the organizations with guidelines to classify information (e.g, Magerit, in Spain), although common sense is enough to single out a few points (secret, confidential, public, etc) to establish a simple data classification set of criteria.
In practice, the development of this shemes faces quite a few challenges: the end user has to be awared of and trained about data classification; if most users are ignorant of basic information security rules, any effort to implement this scheme, all the more since it is an ongoing process, will be a waste of time and money. The employees need to know how and when to classify the information, so that the simplest the data classification scheme is, the better.
Another major factor is the cost: the definition, implementation and training expenses will likely to join the acquisition of a software tool to grant restricted access depending of the sensitivity levels (e.g, DRM tools). As it usually goes with information security, it is not easy for management to justify these efforts as a necessary part of doing business, when they do not directly lead to revenue generation.
Therefore, when will a data classification will be in the pipeline? Most probably the moment it becomes a regulatory compliance issue: in US, healthcare and financial firms are already required by law to classify data. To say, another junction between management commitment, technology and law.

6
Dec

Privacidad por contrato

Written on December 6, 2006 by faparicio in Riesgos y Tecnología

Director Cátedra de Riesgos en Sistemas de Información
Bueno, parece que, en materia de protección de datos, no sólo llueve en Europa y chaparrea en España: una empresa de mercadotecnia online norteamericana, pagará 900.000 euros de multa por haber empleado ilegalmente los datos personales de seis millones de consumidores norteamericanos (ver noticia completa) . A diferencia del caso de las autoridades de control europeas (las agencias de protección de datos), la multa en el mercado USA la impuso el fiscal general de Nueva York y es una de las más cuantiosas de una legislación claramente por debajo del nivel de exigencia de sus homólogas europeas. Parece que el ámbito del marketing tiene en el respeto a la privacidad y la política anti-spam a su Pepito Grillo particular y es una de los principales criterios para la selección de un proveedor de email marketing. Ahora que empiezan a proliferar los servicios de marketing en modo ASP (ConstantContact, Graphicmail, Teenvio, etc), los clientes tienen que tener en cuenta más que nunca que la responsabilidad en caso de infracción de la normativa es para ambos, cliente y proveedor, lo que obliga a revisar el contrato y adecuarlo a las circustancias y legislación particulares (la propia filosofía de estos servicios es ofrecerlos a cualquier país del mundo). Por tanto, nada de contratos de adhesión, en los que mi única opción como cliente es aceptar o no: si el proveedor vende un servicio personalizado…ha de empezar por el contrato.

We use both our own and third-party cookies to enhance our services and to offer you the content that most suits your preferences by analysing your browsing habits. Your continued use of the site means that you accept these cookies. You may change your settings and obtain more information here. Accept